近日有受害者联系慢雾安全团队,其因使用在线编程平台Replit创建Atomicals协议钱包并分批打入ATOM(Atomicals协议mint的ARC20代币),导致被盗走90,000个ATOM。据受害者描述,私钥/助记词是因在网页上复制粘贴而泄漏。
atomicals-js(https://github.net/atomicals/atomicals-js)是由Atomicals官方开发并发布在Github上的命令行接口和JavaScript库,方便用户使用JavaScript和Atomicals进行交互。
Replit是一个知名的在线编程平台,其Web端是一个在线的IDE,支持Python、JavaScript等多种编程语言,具有直接在浏览器中编写代码,快速启动项目,代码共享等功能。
在微博、推特、YouTube等平台上有许多ARC20钱包注册教程:
然而其中有些教程是讲解如何使用Replit在线部署atomicals-js项目来生成钱包,以及如何转入ATOMARC20代币等。
(https://weibo.net/ttarticle/p/show?id=2309404950524427632902)
(https://twitter.net/Web3heinu/status/1730186061744136654)
类似的教程虽不局限于ARC20打新教程,但却也是推荐使用Replit平台。
(https://twitter.net/Coinowodrop/status/1728042508687475187)
由于Replit平台的公开性,在其上部署的代码均是公开的,允许所有人访问。atomicals-js项目部署运行后会在项目目录生成一个wallet.json文件,这个文件包含了如生成的助记词、私钥以及地址等敏感信息。
值得注意的是,通过简单搜索或者利用GoogleHacking等技术,可以轻易地发现使用了atomicals-js并在Replit上运行的项目,进而找到包含wallet.json文件的案例。
因此,依据这些所谓的教程创建钱包是存在巨大风险的,应该避免在公开可访问的平台上运行此类包含敏感信息的代码,尤其是涉及加密货币钱包或私钥的情况,应该选择更加安全可靠的环境来生成和管理加密货币钱包。
使用MistTrack分析发现,受害者9月23日转入了多笔ATOM(据受害者描述有98,000个)到创建的ARC20钱包地址bc1pt046u0mew4yq83ftwrp3eqfalvf8d6g6lncnmnf3l4zaaalpl54qwvxuqp中,而这些代币在9月24日就被转入了黑客的地址bc1psanyvngxqgwxcssfwryl8mva7em4pmp37jcck2m67xtux8l887js7ezvev。
使用https://satsx.io/查询,可以看到目前黑客盗取的ATOMARC20代币还有68,000个没有被转移。
本文讲解的这类攻击成本极低,攻击者只需掌握基本的搜索和扫描技能即可发起攻击。慢雾安全团队在此提醒,若不慎使用Replit生成钱包,请第一时间转移相关资金并删除敏感文件!并且,在陌生的Web平台上使用生成的钱包或助记词时,请务必保持警惕,慢雾安全团队建议用户选择经过安全审计且知名的钱包服务,以降低泄漏风险。
以上就是警惕因使用 Replit 平台注册钱包造成的助记词泄漏的全部内容,望能这篇警惕因使用 Replit 平台注册钱包造成的助记词泄漏可以帮助您解决问题,能够解决大家的实际问题是非常好学习网一直努力的方向和目标。